ادعای تشدید جاسوسی سایبری چین و کره شمالی

به گزارش کارگروه بین‌الملل سایبربان؛ شرکت امنیت سایبری کروداسترایک (CrowdStrike) گزارش تهدید جهانی 2025 خود را منتشر کرد که در آن تهاجم روزافزون عملیات‌های سایبری چین، افزایش تحقیقات و بهره‌برداری از مهندسی اجتماعی مبتنی بر هوش مصنوعی مولد (GenAI) و آسیب‌پذیری دولتی و افزایش شدید حملات بدون بدافزار و مبتنی بر هویت ذکر شده است. این گزارش نشان می‌دهد که مهاجمان چینی موسوم به نکسوس (Nexus) عملیات‌های سایبری دولتی را تا 150 درصد تشدید کردند و حملات هدفمند در بخش خدمات مالی، رسانه، تولید و صنعت تا 300 درصد افزایش یافت.

در عین حال، مهاجمان در سرتاسر جهان از فریب‌های تولید شده با هوش مصنوعی و اعتبارنامه‌های سرقت شده استفاده می‌کنند و به طور فزاینده‌ای حملات بین دامنه‌ای را با استفاده از شکاف‌های موجود در نقطه پایانی، ابر و هویت برای دور زدن کنترل‌های امنیتی و عملیات‌های غیرقابل شناسایی در سایه انجام می‌دهند. تغییر به سمت نفوذهای بدون بدافزار که از دسترسی قابل اعتماد سوءاستفاده می‌کنند، همراه با زمان شکست رکوردشکنی، فضای کمی برای خطای مدافعان باقی می‌گذارد. برای متوقف کردن حملات مدرن، تیم‌های امنیتی باید شکاف‌های دید را از بین ببرند، حرکت دشمن را در زمان واقعی شناسایی و حملات را قبل از تشدید متوقف کنند، زیرا زمانی که وارد می‌شوند، دیگر خیلی دیر شده است.

کروداسترایک در آخرین تحقیقات خود ادعا کرد که با ردیابی بیش از 250 مهاجم نامگذاری شده و 140 خوشه فعالیت در حال ظهور موارد زیر اتفاق می‌افتند:

• جاسوسی سایبری چین تهاجمی‌تر می‌شود: کروداسترایک در سال گذشته 7 دشمن جدید چین را شناسایی کرد که باعث افزایش 150 درصدی حملات جاسوسی شد و صنایع مهم تا 300 درصد حملات هدفمند را مشاهده کردند.
• افزایش مهندسی اجتماعی به کمک هوش مصنوعی مولد: تاکتیک‌های فیشینگ و جعل هویت مبتنی بر هوش مصنوعی باعث افزایش 442 درصدی فیشینگ صوتی (ویشینگ) بین نیمه اول و دوم سال گذشته شد. گروه‌های پیچیده جرایم الکترونیکی مانند «CURLY SPIDER»، «CHATTY SPIDER» و «PLUMP SPIDER» از مهندسی اجتماعی برای سرقت اعتبار، ایجاد جلسات از راه دور و فرار از شناسایی استفاده کردند.
• ایران از هوش مصنوعی مولد برای تحقیق و بهره‌برداری از آسیب‌پذیری‌ها استفاده می‌کند: در سال 2024، عوامل ایرانی نکسوس به طور فزاینده‌ای هوش مصنوعی مولد را برای تحقیقات آسیب‌پذیری، توسعه بهره‌برداری و اصلاح شبکه‌های داخلی، همسو با ابتکارات هوش مصنوعی دولتی، مورد بررسی قرار دادند.
• از ورود به سیستم تا ورود - افزایش حملات بدون بدافزار: 79 درصد از حملات برای دسترسی اولیه اکنون بدون بدافزار هستند درحالی‌که تبلیغات واسطه دسترسی 50 درصد در سال افزایش یافته است. مهاجمان از اعتبارنامه‌های به خطر افتاده برای نفوذ به سیستم‌ها به‌عنوان کاربران قانونی، سوء استفاده و با فعالیت‌های صفحه‌کلید عملی، به‌صورت جانبی ناشناخته حرکت کردند.
• افزایش تهدیدهای خودی: «FAMOUS CHOLLIMA»، عوامل کره شمالی نکسوس پشت 304 حادثه کشف شده در سال 2024 بودند. 40 درصد شامل عملیات‌های تهدید داخلی بود که مهاجمان با پوشش استخدام قانونی برای دسترسی به سیستم و انجام فعالیت‌های مخرب فعالیت می‌کردند.
• زمان شکست، عامل سرعت رکورد: میانگین زمان شکست جرایم الکترونیکی به 48 دقیقه کاهش یافت، که سریع‌ترین آن 51 ثانیه ثبت شد که به مدافعان فرصت کمی برای واکنش می‌دهد.
• گسترش محیط‌های ابری: نفوذهای ابری جدید و بدون نسبت سالیانه 26 درصد افزایش یافته است. سوءاستفاده از حساب معتبر تاکتیک دسترسی اولیه است که 35 درصد از حوادث ابری را در نیمه اول 2024 تشکیل می‌دهد.
• آسیب‌پذیری‌های پچ‌نشده یک هدف کلیدی باقی می‌مانند: 52 درصد از آسیب‌پذیری‌های مشاهده‌شده مربوط به دسترسی اولیه بودند، که نیاز حیاتی به ایمن کردن نقاط ورودی را قبل از تداوم دشمنان تقویت می‌کند.

آدام مایرز (Adam Meyers)، رئیس عملیات‌های مقابله با دشمن در کروداسترایک، گفت:

«جاسوسی سایبری تهاجمی فزاینده چین، همراه با سلاح‌سازی سریع فریبکاری مبتنی بر هوش مصنوعی، سازمان‌ها را وادار می‌کند تا در رویکرد خود نسبت به امنیت تجدیدنظر کنند. مهاجمان از شکاف‌های هویتی بهره‌برداری، از مهندسی اجتماعی استفاده و در حوزه‌های غیرقابل شناسایی حرکت می‌کنند و دفاع‌های میراثی را ناکارآمد می‌سازند. توقف نقض‌ها مستلزم یک پلتفرم واحد است که با اطلاعات سریع و شکار تهدید، مرتبط با هویت، فعالیت‌های ابری و نقطه پایانی برای از بین بردن نقاط کوری تقویت شود که در آن مهاجمان پنهان می‌شوند.»